InformatIonssäkerhet en lednIngsfråga 3 steg tIll god
ANNONS Hela denna tematidning är från IDG Custom publishing ANNONS Medföljer Computer Sweden december 2010 SAmhällssäkerhet & IT Standardlogotype Logotype utan övertoningar. Används när färgantalet är begräsnat Pantone 308 EC Process C 100% M 0 % Y 0% K 58% Titangrå C 23% M 11 % Klarröd C 0% M 100 % Y 100% K 0% Mellanröd C 0% M 100 % Y 100% K 25% Mörkröd C 25% M 100 Vilket behov ett företag har på informationssäkerhet varierar utifrån verksamheten och styrs genom olika analyser och riktlinjer av företagen själva. VD är ytterst ansvarig. Sid 8 3 steg till god informationssäkerhet Balanserad informationssäkerhet hos företag och myndigheter är en grundläggande del i ett säkert samhälle. Det handlar om att ta rätt risker – och att hantera de andra. Sid 7 Ledande kryptering Sverige har en lång tradition inom kryptering och levererar säkra kommunikationssystem till Europa. Säker certifiering FMVs IT-certifieringen kan ge en fingervisning till vad ett företag vill investera i. Sid 11 Svart/vit logotype. Pantone 307 EC Process C 100% M 0 % Y 0% K 27% Informationssäkerhet en ledningsfråga Sid 10 Logotype utan rastrerad skugga, a när tekniken inte tillåter rasterade 2 ANNONS Hela denna tematidning är från IDG Custom publishing ANNONS Informationssäkerhet berör dig. Och mig. »» Sverige kommunicerar mer och mer. Informationsmängden som behandlas och lagras är större än någonsin. Svårigheten kommer i att skapa trygghet i en allt mer digitaliserad och publik värld. Informationssäkerhet är något som berör oss alla – beslutsfattare inom offentlig förvaltning och näringsliv, personer som arbetar med it-frågor och den enskilda individen. Brister i vår förmåga att hantera information kan leda till minskad tillit för produkter och tjänster som erbjuds i vårt samhälle. Digitaliseringen av information ställer större krav på en säkrare infrastruktur. Enligt Myndigheten för samhällsskydd och beredskap, MSB, är det därför viktigt att alla har relevant kunskap om hur Sverige arbetar med säkerhet av information. MSB har i samarbete med Försvarsmakten, Försvarets materielverk, Försvarets radioanstalt och Post- och telestyrelsen tagit fram en strategi för samhällets informationssäkerhet. Strategin, som gäller fram till 2015, är en handlingsplan som bland annat beskriver de arbetsområden, riktlinjer och målsättningar som gäller för informationssäkerheten. Det övergripande målet är att upprätthålla ett samhälle som värnar om demokrati, personlig integritet samt en ekonomisk och politisk stabilitet. I denna målsättning ingår en rad delmål, bland annat inom brottsbekämpning, krishantering och rättigheter för medborgare. Även att höja kunskapsnivån hos allmänheten om informationshantering och it-system är en tydlig ambition. Redan under andra världskriget var Sverige framstående inom kryptering. Idag levererar det svenska företaget Sectra säker telefoni till EU. Informationssäkerhet är en ledningsfråga och något som företag bör arbeta med kontinuerligt med, särskilt när marknaden för molntjänster växer. En del verksamheter kännetecknas som skyddsvärda och omfattas av andra regler. ”Man kan se på säkerhet på samma sätt som man ser bilar. Det är lika lätt att svara på frågan om en Volvo är säker som att viktig it-information har lagrats säkert. Även om det är en ”säker” bil så kan föraren vara osäker. Samma sak gäller säkerhetssystem. Även om produkten motsvarar kraven, kan den användas på fel sätt och göra ett system osäkert” som Dag Ströman på FMV så träffsäkert förklarar. Informationshantering är komplext och gränsöverskridande. Samverkan mellan olika instanser är viktigt. Det handlar inte bara om att förbättra dialogen mellan myndighet, stat och näringsliv i Sverige. Det krävs också internationellt samarbete, med våra nordiska grannländer och inom EU. Informationssäkerhet måste vara ett gemensamt ansvar och en naturlig del i alla verksamheter, på alla samhällsnivåer. För det berör dig och mig. ”Redan under andra världskriget var Sverige framstående inom kryptering” Johan Hedlund redaktör redaktion Logotype utan rastrerad skugga, används i stora storlekar och när tekniken inte tillåter rasterade objekt. Standardlogotype Producerad av IDG Custom Publishing AB Logotype utan övertoningar. Används när färgantalet är begräsnat Skribenter ............................................... Johan Hedlund, Anna Bellman Form ........................................................... Christian Sabe, Pernilla Roos Omslagsbild ............................................................................. Istockphoto Tryck ................................................................................. Pressgrannar AB Distribution.................................... Computer Sweden, December 2010 För tematidningar med distribution via IDGs tidningar kontakta Christer Dånsjö, Affärschef. 08 – 453 60 43. Svart/vit logotype. Pantone 307 EC Process C 100% M 0 % Y 0% K 27% Pantone 308 EC Process C 100% M 0 % Y 0% K 58% Titangrå C 23% M 11 % Y 0% K 20% Klarröd C 0% M 100 % Y 100% K 0% Mellanröd C 0% M 100 % Y 100% K 25% Mörkröd C 25% M 100 % Y 100% K 39% Säkerhetspolisen söker IT-säkerhetsspecialister I Säkerhetspolisens uppdrag att förebygga brott mot rikets säkerhet ingår även att utöva tillsyn och ge råd i säkerhetsskyddsfrågor till organisationer som har ett ansvar för samhällsviktig verksamhet. För detta uppdrag söker vi nu IT-säkerhetsspecialister med placering vid den nyinrättade informationssäkerhetsenheten i Stockholm. Arbetsuppgifterna för tjänsten består främst av tekniska säkerhetsgranskningar och kvalificerad rådgivning. Vi söker även IT-säkerhetsspecialister med fokus på analys av skadlig kod och IT-forensiker. Mer information finns på www.sakerhetspolisen.se 4 ANNONS Hela denna tematidning är från IDG Custom publishing ANNONS Skyddet för rikets säkerhet ANNONS Hela denna tematidning är från IDG Custom publishing export av produkter som kan användas för i civilt och militärt syfte. Ett exempel på detta är vissa krypteringsprogram. ANNONS 5 Här är myndigheterna som samverkar kring informationssäkerhet ISP övervakar Sveriges export demokrati, personlig integritet samt ekonomisk och politisk stabilitet. det är något som vi alla värnar om. viss information måste skyddas extra mycket. »» I dag är it en naturlig del av vårt samhälle. Vi tar för givet att den information som vi lämnar är i säkert förvar. Informationssäkerhet är en förutsättning för att nya funktioner ska kunna fungera i samhället. Informationssäkerheten ska främja medborgaren, näringslivet, samhällets funktioner, brottsbekämpning, finnas till hjälp vid kriser och ge förtroende för våra it-system. För att it-system ska kunna användas tryggt och säkert krävs en helhetssyn kring informationssäkerhet. Viss information måste skyddas extra mycket. Så kallad skyddsvärd information innebär att den måste skyddas för att det berör rikets säkerhet. Skyddet för rikets säkerhet är inte bara en angelägenhet för staten utan också företagens verksamheter. Ett exempel på det är de krav som ställs på ett företag i ett säkerhetsskyddsavtal. belagd på grund av rikets säkerhet och ett företag som ska utföra ett uppdrag åt myndigheten. Innan en myndighet påbörjar en upphandling ska myndigheten pröva om upphandlingen helt eller delvis ska säkerhetsskyddas. Det som avgör om en upphandling ska säkerhetsskyddas eller inte är om företaget kan få del av hemliga uppgifter i förfrågningsunderlaget eller under uppdragets utförande. I säkerhetsskyddsavtalet regleras hur säkerhetsskyddet ska utformas, exempelvis hur informationen om rikets säkerhet ska skyddas eller hur man ska se till att obehöriga inte får tillträde till platser där verksamhet som har betydelse för rikets säkerhet drivs. Det kan också finnas situationer när personer som inte är pålitliga ur säkerhetssynpunkt arbetar med verksamhet som har betydelse för rikets säkerhet. Säpo kontrollerar Säpo är tillsynsmyndighet på säkerhetsskyddsområdet och kontrollerar att myndigheterna följer de lagar och regler som finns. Säpo ska kontrollera att deras skydd är tillräckligt utifrån den verksamhet myndigheten bedriver. Kontrollerna görs i form av besök vid myndigheterna där Säpo kontrollerar hur skyddet är utformat. Ett annat regelverk som är av betydelse för företag och andra organisationers verksamhet reglerar Avtal styr Ett säkerhetsskyddsavtal reglerar förhållandet mellan en myndighet med information som är sekretess- Inspektionen för strategiska produkter, ISP, är den statliga myndighet som kontrollerar Sveriges export av försvarsmateriel och produkter med dubbla användningsområden, det vill säga sådana produkter som kan användas både i civil verksamhet och för försvarsändamål. ISP är också nationell myndighet för FN:s konvention om förbud mot kemiska vapen samt hanterar riktade sanktioner gällande export till vissa länder. Vilka produkter omfattas? ISP har listat de produktkategorier som i vissa fall, beroende på användningsområde och köpare eller användare av produkten, kan omfattas av ISP:s tillsyn. • Kärnmaterial, anläggningar och utrustning • Särskilda material och tillhörande utrustning • Materialbearbetning • Elektronik • Datorer • Telekommunikation och ”informationssäkerhet” • Sensorer och lasrar • Navigation och avionik • Marint • Rymd och framdrivning Samverkansgruppen för informationssäkerhet (SAMFI) består av sex myndigheter med särskilda uppgifter inom informationssäkerhetsområdet. SAMFI ska genom informationsutbyte och samverkan stödja de aktuella myndigheternas uppdrag inom området. Försvarets materielverk (FMV): anskaffar, vidmakthåller och avvecklar materiel och förnödenheter på uppdrag av försvarsmakten och andra myndigheter. FMV har genom CSEC uppgiften att utforma ett system för evaluering och certifiering av it-säkerhet i produkter och system i enlighet med standarden ISO/IEC 15408, Common Criteria. Försvarets Radioanstalt (FRA): tillhandahåller tekniskt stöd med inriktning på informationssäkerhet till organisationer som hanterar information som bedöms känslig ur sårbarhetspunkt eller ur ett säkerhets- eller försvarspolitiskt avseende. Försvarsmakten (FM): har föreskrifts- och tillsynsansvar för Ord- och förkortningslista CCRA (Common Criteria Recognition Arrangement) – En internationell samarbetsorganisation som erkänner ömsesidigt utfärdade certifikat. Inom CCRA utvecklas såväl standarden Common Criteria som metoder och regelverk för att stödja CCRA avtalet. CSEC – Sveriges Certifieringsorgan för it-säkerhet. Är placerat på FMV och ansvarar för uppbyggnad, drift och förvaltning av ett system för evaluering och certifiering av IT-säkerhet i produkter och system i enlighet med standarden Common Criteria (CC). Digitala kontrollsystem (SCADA- Supervisory Control And Data Aquisition) – Datorbaserade system för styrning, reglering och övervakning av fysiska processer som exempelvis elektricitet, gas, spårbunden trafik och dricksvattenförsörjning. Rakel – Gemensamt radiokommunikationssystem för organisationer i samhället som arbetar med allmän ordning, säkerhet eller hälsa. Common Criteria (CC) – Standarden ISO/IEC 15408:2 005 Evaluation criteria for it security. Common Criteria är en standard för kravställning, deklaration och evaluering av säkerhet i IT-produkter och IT-system samt i deras användningsmiljöer. BITS – basnivå för informationssäkerhet, utgiven av KBM. CERT – Computer Emergency Response Team. Funktion för incidenthantering. CIP – Critical Infrastructure Protection (skydd av kritisk infrastruktur). CIIP – Critical Information Infrastructure Protection (skydd av kritisk informationsinfrastruktur). CPNI – Centre for the Protection of National Infrastructure. Brittisk myndighet för säkerhet, inklusive informationssäkerhet. EPCIP – European Programme for Critical Infrastructure Protection. FIDI – Forum för informationsdelning avseende informationssäkerhet. En modell för samverkan inom informationssäkerhet mellan privata och offentliga aktörer. FIDI-SC – Samverkansforum för aktörer beroende av industriella kontrollsystem (SCADA). FOI – Totalförsvarets forskningsinstitut. GovNet – Governmental Network. En gemensam, skyddad informations- och kommunikationsinfrastruktur för myndighet eller för offentlig sektor. Industriella kontrollsystem – Datorbaserade aktörer inom sitt ansvarsområde. Vidare ska FM särskilt leda och samordna signalskyddstjänsten inklusive arbetet med säkra kryptografiska funktioner som ska skydda skyddsvärd information. Myndigheten för samhällsskydd och beredskap (MSB): har i uppgift att stödja och samordna samhällets informationssäkerhet. Myndigheten har föreskriftsrätt när det gäller informationssäkerhetsarbetet hos statliga myndigheter. Post- och telestyrelsen (PTS): har ansvar för infrastruktur inom kommunikationsområdet Rikskriminalpolisen (RKP): bekämpar grov organiserad brottslighet, på nationell och internationell nivå. Målet är att motverka de kriminella organisationernas möjligheter att agera i Sverige. RKP utgör också en svensk kontaktpunkt inom ramen för G8 24/7-arrangemang, Interpol och Europol när det gäller it-relaterad brottslighet. Säkerhetspolisen (SÄPO): ansvarar för tillsyn och rådgivning inom informationssäkerhetsområdet för samhällsviktiga civila verksamheter. Tillsynen och rådgivningen avser skydd av rikets säkerhet och skydd mot terrorsim. Rikspolisstyrelsen (RPS): representeras genom Rikskriminalpolisen (RKP) och Säkerhetspolisen (SÄPO). Visente söker rådgivare med inriktning på Strategisk Informationssäkerhet Uppdrag: Visentes krävande kunder finns inom alla sektorer och har behov av följande tjänster: Policy och riktlinjer för informationssäkerhet, utbildning (interaktiv och på plats), analyser (GAP, risk, IT-revision, etc.), löpande informationssäkerhetsarbete, projektledning, certifiering, juridik (sekretess, PuL, etc.), teknisk analys av nätverk, servrar och applikationer (ej krav), processer och rutiner för informationssäkerhet. system för styrning, reglering och övervakning av fysiska processer som exempelvis elektricitet, gas, spårbunden trafik och dricksvattenförsörjning. Benämns även SCADA. MUST – Militära underrättelse- och säkerhetstjänsten. NCT – Nationellt centrum för terrorhotbedömning. NTSG – Nationella telesamverkansgruppen. SGSI – Swedish Government Security Intranet. Svenskt nationellt nät som används för kommunikation mellan svenska myndigheter och med EU-kommissionens nät TESTA. SOF – Svensk Internet Operatörs Forum. SOF är ett samarbetsorgan för de svenska huvudoperatörerna på Internet i Sverige. VISENTE söker rådgivare inom Informationssäkerhet www.visente.com Kompetensprofil: Högskoleutbildning (systemvetare, civilekonom, civilingenjör eller motsvarande). Magisterexamen är meriterande. Minst ett års erfarenhet av rådgivning inom IT-säkerhets- eller informationssäkerhetsområdet. Vilja att arbeta i ett litet snabbt växande företag med olika uppgifter. Certifiering CISA, CISSP, CISM eller liknande är meriterande. Goda språkliga och kommunikationskunskaper på svenska. Lönemodell: Lön, pension och övriga ersättningar i direkt relation till fakturering, kombinerat med en garantiersättning. Om företaget: Visente Information Security AB är en ledande leverantör av tjänster inom strategisk informationssäkerhet. Vi är experter på ISO/ IEC 27000-serien och har extremt krävande kunder och intressanta uppdrag. Verksamheten bedrivs från kontoret i Kista. Ansökan: Känn efter - är det här ett jobb för dig? Om det känns rätt, vänta inte utan skicka ett mail med ditt CV till [email protected]. Personligt brev krävs inte. Alla ansökningar hanteras strikt konfidentiellt. För mer information ring vd Fredrik Björck 08 5000 7373 (växel). 6 ANNONS Hela denna tematidning är från IDG Custom publishing ANNONS ANNONS Hela denna tematidning är från IDG Custom publishing ANNONS 7 Tre steg till god informationssäkerhet Tre steg till god informationssäkerhet »» Balanserad informationssäkerhet hos företag och myndigheter är en grundläggande del i ett säkert samhälle. Med maximal säkerhet avstannar utBalanserad informationssäkerhet veckling och ekonomisk tillväxt är inte möjlig –hos vareföretag och myndigheter är en grundläggande del i ett säkert sig i form av vinst eller för ekonomin i samhälle. Medi företaget maximal säkerhet avstannar utveckling och ekonomisk tillväxt är inte möjlig – vare sig i stort. Det är det som gör säkerhet svårt – det handform av vinst i företaget eller för i stort. Det är det som gör säkerhet svårt – det handlar om lar om attta rätt risker – och att hantera de ekonomin andra. Om man lyckas med det bidrar säkerheten till oss, att ta rätt risker – och att hantera de andra. Om man lyckas med det bidrar säkerheten till oss, till till organisationer och till samhället. För att nå det målet krävs en insatsoch i organisationer som kan organisationer till samhället. Förbe-att nå det målet krävs en insats i organisationer som kan beskrivas skrivas i tre steg till god informationssäkerhet; anai tre steg till införa. god informationssäkerhet; analysera, utforma, införa. lysera, utforma, Utbildning inom informationssäkerhet it används idag i stort sett av alla invånare i sverige och trenden ökar. att det finns utbildning inom informationssäkerhet är därför viktigt. »» För den enskilde individen är kunskapen nödvändig för att kunna skydda privat information och känna sig trygg med exempelvis transaktioner över nätet. För företagen är kompetens inom området viktigt för att kunna hantera konfidentiell information och ha en god beredskap för situationer som kan uppstå. Dessutom har en stor övning genomförts där flera företag och myndigheter samverkade. Chief Information Assurance Officer (CIAO) Utbildningen genomförs av FHS med stöd från MSB, PTS och FRA. Nu har kursen modifierats och anpassats till en svensk/europisk målgrupp. CIAO-kursen har fokus på riskhanteringen mellan personal, processer och teknik i syfte att uppnå verksamhetens mål. Informationssäkerhetsakademin Swedish Standards Institute, SIS, startade Informationssäkerhetsakademin 2008. Kursen är uppbyggd kring standardsviten 27000. Standarderna i 27000-serien används i fler och fler sammanhang, i synnerhet inom rättsliga regelverk. Därför är det av stor betydelse att det finns utbildningsmöjligheter inom detta område. Övning ger insikter Att öva för att öka kompetensen är viktigt. Särskilt för situationer där flera olika organisationer behöver sam- arbeta kring en gemensam fråga. 2008 genomförde 3 000 deltagare från Regeringskansliet, centrala myndigheter, länsstyrelser, kommuner, organisationer och företag samt från allmänheten en samverkansövning. Scenariot i övningen handlade om omfattande itattacker mot det finansiella systemet som påverkade aktörer inom ekonomisk säkerhet, polis och andra aktörer på nationell och regional nivå. Att samordna insatserna i övningen skulle visa sig vara centralt. Förtroende var en annan viktig fråga. Ett av målen i övningen var att förmedla trovärdig, relevant och lättillgänglig information till media och allmänhet. Efter övningen kunde viktiga lärdomar dras. En bra samverkan i en krissituation kräver en tydlig roll- och ansvarsfördelning. Det är viktigt med förståelse för hur beslut och åtgärder som tas av inblandade personer i en kris påverkar övriga inblandade aktörer. Även rutiner som effektivt skapar en gemensam lägesuppfattning är centralt. Analysera Analysera Verksamhetsanalys inleder arbetet. För informationssäkerhet innebär det att verksamheten identiVerksamhetsanalys inleder arbetet. För informationssäkerhet innebär det att verksamheten identifierar fierar och listar de kritiska informationstillgångaroch (information, listar de kritiska informationstillgångarna (information, system). Säkerhetskraven, verksamhetens na system). Säkerhetskraven, verksamhetens egna och sådana som följer av lagar egna och sådana som följer av lagar och avtal, beskrivs övergripande i en så kallad och avtal, beskrivs övergripandei en så kallad inforinformationssäkerheten inom olika områden. Man 27001 och 27002 ger något hundratal ”best practimationsklassning. Nu vet vi Nu alltså är vad utformar de processer ces” inom Man går igenom informationsklassning. vetvadvi som alltså som ärinformationssäkerhet. skyddsvärt (informationstillgångarna) och hur (incidenthantering, behörigdessa goda idéer och jämför med hur det ser ut idag hetsadministration, etc.) för informationssäkerhet skyddsvärt (informationstillgångarna) och hur säsäkerhetskraven serviut. vi vet inte risker vi har.rimligt Därför en riskanalys. och vad som verkar medkrävs kunskapen från de somRiskanalysen anges i styrande kan dokument. kerhetskraven ser ut. Men vetMen inte vilka risker vi vilka tidigare analyserna. har. Därför krävs en riskanalys.Riskanalysenkan vara verksamhetsövergripande eller för en specifik informationstillgång. Med utgångspunkt i vad som vara verksamhetsövergripande eller för en specifik Införa inträffat tidigare,Med kunskap och erfarenhet om verksamheten och dess IT-stöd, skapas och bedöms fiktiva informationstillgång. utgångspunkt i vad som Utforma Nu är det dags att lämna ritbordet och göra verkliginträffat tidigare, kunskap och erfarenhet om verkMed utgångspunkt i skyddsbehovet fastställs de het av planerna. Policy och riktlinjer kommuniceras scenarier dataintrång). Manfikbeskriver konsekvenserna skulle om scenariet inträffar, samheten och(brand, dess IT-stöd, skapas och bedöms ut i verksamheten, säkerhetslösningar anskaffas mål ochvilka säkerhetsåtgärder som krävs för en bli balantiva scenarier (brand, Manibland beskriver ochen införs, medarbetarna Grunden är åtgärdersannolikheten fördataintrång). detta, samt vad serad maninformationssäkerhet. kan göra åt det. GAP-analysen ger oss genväg. Vi tar vi utbildas (online, på vilka konsekvenserna skulle bli om scenariet inträfplats). MSBs webbplats www.informationssäkerna i standarderna, vilka kompletteras vid behov. med oss kunskapen från två vad analyserna och GAP-analys förhållande vedertagna far, sannolikheten för detta, samtde ibland man Man tar gör fram en policy och styrande idokument för in-till het.se ger mer information och metodik. formationssäkerhet. Genom policyn anger ledningkan göra åt det.GAP-analysenger oss en genväg. Vi standarder inom informationssäkerhet. ISO/IEC 27001 och 27002 ger något hundratal ”best practices” tar vi med oss kunskapen från de två analyserna och en inriktningen för informationssäkerheten innegör en informationssäkerhet. GAP-analys i förhållande tillMan vedertagna fattande dessgoda mål, idéer krav och ansvar. De med andra hurFredrik Björck inom går igenom dessa och jämför det ser ut idag och standarder inom informationssäkerhet. ISO/IEC styrande dokumenten anger regler och rutiner för Doktor i informationssäkerhet, Visente vad som verkar rimligt med kunskapen från de tidigare analyserna. Analysera Utforma Införa Verksamhetsanalys Fastställa säkerhets-åtgärder Planera genomförande Riskanalys Utforma Säkerhetsprocesser Konstruera och anskaffa GAP-analys Utforma policy och styrande dokument Införa Figur: Tre steg till god informationssäkerhet ”Verksamhetsanalys inleder arbetet. För informationssäkerhet innebär det att verksamheten identifierar och listar de kritiska informationstillgångarna” 8 ANNONS Hela denna tematidning är från IDG Custom publishing ANNONS Informationssäkerhet en ledningsfråga vilket behov ett företag har på informationssäkerhet varierar utifrån verksamheten och styrs genom olika analyser och riktlinjer av företagen själva. vd är ytterst ansvarig. »» Behovet av att lagra information elektroniskt ökar hela tiden. Kraven på lagringskapacitet och tillgänglighet ökar samtidigt som IT-miljön blir allt mer komplex. Lagringslösningarna varierar i funktion, skalbarhet och tillgänglighet. Det kan ställa stora krav på lagringslösningarna och samtidigt också stora krav på säkerhet och backuper. För företaget är det också viktigt att information som företag har är lättillgängligt. Informationen måste kunna arkiveras och hittas, inte bara lagras inför framtiden. Många företag betraktar informationssäkerhet som enbart en IT-fråga. Men att se till att företaget har ett bra säkerhetsskydd för information är en ledningsfråga. För att göra en heltäckande bedöm- ning av hur företagen ska arbeta med informationssäkerhet räcker det inte med att enbart titta på vilken produkt företaget erbjuder eller hur företaget arbetar internt med säkerhet. Det kan exempelvis finnas anledning för ett företag att skydda sina leverantörer, kunder eller andra intressenter. Att bedöma skyddsbehovet på ett korrekt sätt handlar också om att göra en ordentlig omvärldsanalys. Kontinuerligt arbete viktigt För att bedöma vilket skyddsbehov företaget har krävs en intern och extern verksamhetsanalys som inkluderar risk och sårbarhetsscenarier. Det är viktigt att arbeta med dessa frågor löpande eftersom förutsättningarna inom företaget och i omvärlden hela tiden förändras. Men att driva en verksamhet helt utan att ta risker är svårt. Alla företag måste alltså ha en plan för katastrofhantering. Vad ska företaget göra om olyckan är framme? I och med att it-miljön blir allt mer komplicerad krävs det också ofta att fler personer arbetar med att ta hand om it-miljön. Samtidigt som systemen blir alltmer komplicerade så ökar hoten utifrån. Säkerhetslösningar skyddar såväl datorer och mobiltelefoner, servrar, lagringslösningar och andra nätverksprodukter från skadliga program. Det blir flera lösningar som används och då gäller det att företagen har en framtidssäker strategi. Läs mer på www.informationssakerhet.se ANNONS Hela denna tematidning är från IDG Custom publishing ANNONS 9 Så säkert är molnet allt fler företag väljer att använda tjänster i molnet. men är de här tjänsterna tillräckligt säkra? svaret är att kunden måste ställa tydliga krav. »» Kundvårdssystem, affärssystem och projektplatser. Marknaden för molntjänster verkar bara fortsätta att växa. Under 2014 räknar Gartner med att företag köper molntjänster för 112 miljarder dollar, ungefär 878 miljarder kronor. Bara i Sverige väntas olika typer av molntjänster omsätta 3,9 miljarder kronor i år, enligt it-analysföretaget Radar Group. Förespråkarna talar om att det blir mer kostnadseffektivt, flexibelt och enkelt men hur är det egentligen med säkerheten kring tjänsten? Även här tvistar de lärde. Det är ungefär lika många som menar att tjänsterna inte alls är bra när det handlar om information som kräver hög säkerhet. Andra menar att det till och med kan vara säkrare att låta någon annan ta hand om företagets information. Många menar att tjänsterna kan skräddarsys och att geografiskt spridda företag kan få en gemensam lösning att jobba med då alla kommer åt lösningen via nätet. Ett företags kunder kan lättare integreras via samma system och det är lättare att interagera dem i olika processer. Att fler företag placerar sina tjänster i nätet sägs dessutom ha positiva effekter för miljön och energiförbrukningen. På det här sättet slipper företaget investera i egna servrar eller använda de gamla i källaren. Molnet har dykt upp som ett alternativ till lokal säkerhet. I stället för att ha egen säkerhetspersonal och egen utrustning går det att lägga ut allt i molnet. Molnleverantörerna har experter som de flesta företag inte skulle ha råd att anlita. De har också produkter som alla inte har råd att köpa. Men det innebär också att du måste lita fullständigt på de människor som du köper tjänsten av. Det bästa är att se till att leverantören är en lokal svensk leverantör av lite större storlek. Då kan du kontrollera säkerheten på plats. En annan fördel om leverantören är svensk är att svensk lag gäller. Om det är en internationell aktör och ett intrång sker är det lagen i det andra landet som gäller. När man gör en upphandling av en tjänst som finns i molnet är det mycket viktigt att precisera vilken säkerhet man vill uppnå. Tänk på att leverantören kommer att göra allt för att försöka övertyga dig om att säkerheten är på topp. Det kan finnas information som kan vara mycket intressant för itbrottslingar som bland annat personregister, kundregister och leverantörsregister. Ord- och förkortningslista –del 2 Oavbrutet skydd för servrar och stationära och bärbara datorer. Proaktivt skydd mot skadlig kod för filer, e-post, HTTP/FTP och chatprogram. Personlig brandvägg med centraliserad eller lokal hantering. Automatiska P2P-uppdateringar. Profilbaserade skyddsinställningar och grupphantering. On-demand och schemalagd skanning där resultaten syns i realtid. Detaljerade, sammanfattande rapporter, även med nyckeltal. Hej! Panda Securitys molntjänster vinner priser titt som tätt nu för tiden! Vad sägs om “Runner Up” i Wall Street Journal Technological Innovation Awards (september) för Panda Cloud Antivirus och “Bäst i Test” för Panda Cloud Office Protection i TechWorlds stora test om SaaS-tjänster i höstas? Fram till nyår har vi kampanj på vår säkerhetslösning för e-post, då vi löser ut dig från din nuvarande leverantör och du betalar 25% mindre än till denne. Har du ingen sådan tjänst får du 25% på våra listpriser. Kontakta din återförsäljare av Panda Security eller ring oss på 08-505 532 00. E-post ren från skadlig kod, spam och phishing. Perimeter för antivirus och anti-spamskydd. Filter för innehåll och uppkoppling. Aktivitetsrapporter för e-posttrafik. Administrationen kan delegeras. Webbmail med tio dagar e-postbackup. Surfa säkert och kontrollerat. Skydd mot skadlig kod, botnät, phishing och avancerade hot i Web 2.0. Kontroll över tillgången till webben och användandet av bandbredd. URL-filtrering och granulär kontroll av applikationer för Web 2.0. Lokal meddelartjänst för e-post. Skydd mot förlust av data (DLP). Konfigurering på företags-, domän- och användarnivå. Globala rapporter i realtid. cloudprotection.pandasecurity.com Upptäck Panda Cloud Protection, optimal säkerhet för ditt företag med minimal investering i tid, personal och infrastruktur. Så arbetar cybertjuven Cross-site-scripting – Metod som utnyttjar användarens förtroende för en webbapplikation. Syftet för en angripare är oftast att stjäla känslig information som exempelvis lösenord eller att förstöra utseendet på en webbsida. Även länkar till andra webbsidor kan placeras på sidan. DDoS-attacker (tillgänglighetsattacker) – Aktiviteter som kan överbelasta eller blockera vissa IT-resurser och på det sättet förhindra behörig åtkomst till resurser i ett IT-system eller fördröja tidskritiska operationer. SQL-injektioner – Metod som utnyttjar säkerhetshål i hanteringen av indata i vissa datorprogram som arbetar mot en databas. Problemet uppstår då indata till en sql-sats inte behandlas på rätt sätt av programmeraren, varpå en attackerare kan använda speciella tecken och kommandon för att manipulera data eller skaffa sig information. Metoden har fått sitt namn av databasfrågespråket SQL. Trojan – Program som ofta innehåller illasinnad kod och följer med en annan fil eller program. Den kan sedan skaffa sig kontroll och utföra det den är programmerad att göra. Social Engineering– Då en person använder sig av olika sociala knep för att skapa förtroende i syfte att förmå någon att lämna ut känslig eller hemlig information. Nätfiske är en form av social manipulering. Man-in-the-middle-attack – Utomstående som genom att koppla in sig på en förbindelse mellan två parter simulerar respektive parts identitet mot den andre och på det sättet kan avlyssna eller förändra den överförda informationen. 10 ANNONS Hela denna tematidning är från IDG Custom publishing ANNONS ANNONS Hela denna tematidning är från IDG Custom publishing ANNONS 11 Säker certifiering från FMV försvarsmakten och myndigheter har ofta mycket höga krav på informationssäkerhet. för att få hög säkerhet certifierar fmv it-produkter. »» Wikileaks påminner oss om att dokument inte alltid är lika säkra som vi trott tidigare. Känslig information kan komma på villovägar och hur kan då ett företag vara säker på att bolagets information inte kommer i fel händer? Försvarets materielverk, FMV, har till uppgift att anskaffa, vidmakthålla och avveckla materiel och förnödenheter på uppdrag av försvarsmakten och andra myndigheter. FMV har två olika roller inom it-säkerhetsområdet. Den ena innebär att de kravställer och upphandlar it-tjänster för olika myndigheter. Försvarsmakten kan vara ett mycket intressant mål för aktörer som vill komma åt säkerhetsluckor i försvaret. Därför ställer FMV mycket höga krav när de upphandlar säkerhetsprodukter. Sverige ledande i världen på kryptering redan under andra världskriget var sverige framstående inom kryptering. idag lever traditionen vidare när det svenska företaget sectra levererar säkra kommunikationssystem till europa. »» Sverige har en lång tradition inom kryptering. Redan under andra världskriget 1940 knäckte professorn Arne Beurling tyskarnas kryptomaskin Gskrivaren på två veckor. Det gjorde att Sverige kunde avlyssna tyskarnas trafik som gick på telegrafkablar genom Sverige. Det visade sig att den upprustning som Tyskland gjorde vid bland annat Östersjökusten var i syfte att anfalla Sovjetunionen och inte Sverige. Ungefär samtidigt konstruerade svensken Boris Hagelin Kryptomaskinen M-209 vilket ledde till serietillverkning och en stor leverans till den amerikanska armén. Genom kryptomaskinen kunde de skydda militär information. Produkten användes ända fram till Koreakriget i början av 50-talet. Mobilen kan enkelt avlyssnas Det ökade samarbetet mellan myndigheter i europeiska länder ökar även kravet på trygg och säker informationshantering. Bland annat är säkerhet inom talkommunikation något som blir alltmer viktigt i Europa. Många tror att dagens mobiltelefoni inte går att avlyssna eftersom den är digital, men faktum är att det idag är lika enkelt att avlyssna GSM-telefoni som det var att avlyssna det gamla NMT-systemet. Ämnet presenterades av den tyske säkerhetsforskaren Karsten Nohl 2009 vilket ökade behovet av att skydda all telefoni från avlyssning i Sverige och Europa. Svenskt företag levererar säker telefoni till Europa Linköpingsföretaget Sectra levererar sedan 1980-talet system och produkter till myndighetsoch försvarskunder. Produkterna är godkända av EU och NATO och av flera nationella säkerhetsmyndigheter. Under hösten utsågs Sectra Tiger XS av EU-rådet till den produkt som ska användas för säker telefoni inom hela den Europeiska Unionen. Tiger skyddar information på den högsta klassificeringsnivån Secret och används dagligen i 17 av Europas länder. För att möta behovet av säker mobiltelefoni för alla anställda inom civila myndigheter och försvaret har Sectra utvecklat produkten Panthon på klassificeringsnivån Restricted. Panthon integreras med en vanlig smartphone och ger användaren möjlighet att både ringa krypterade samtal och vanliga samtal. Kryptering räddar liv Kryptering av sekretessbelagd information inom försvaret handlar ytterst om att rädda liv och om att fredstyrkor ska lyckas i sina uppdrag. De civila användarna av krypteringstjänster är många. Det kan handla om beslutsfattare och tjänstemän inom polisen, tullverket, kustbevakningen, vägverket och andra organisationer som behöver skydda känslig information. Olika säkerhetsnivåer Gemensamt för både försvaret och inom civila myndigheter är behovet av att skydda information både på den högsta klassificeringsnivån Secret och på den lägre nivån Restricted. Klassificeringen av informationen är ofta kopplad till vilken befattning en person har men det finns också ett behov av att kommunicera säkert mellan alla befattningar i organisationen. Tiger skyddar information på den högsta klassificeringsnivån och Panthon på nivån Restricted, men det går även att kommunicera säkert mellan de två nivåerna. Användarvänlighet viktigt Det är en viktig säkerhetsaspekt att systemen verkligen används och att de används på rätt sätt. Därför strävar Sectra efter att erbjuda kryptoprodukter som är lättanvända. Användarvänlighet i produktutvecklingen är därför centralt. Komplext att certifiera produkter Den andra delen av FMV:s roll handlar om att certifiera produkter. Det är en fristående funktion som sedan 2002 ansvarar för uppbyggnad, drift och förvaltning av ett system och certifiering. Produkterna certifieras i enlighet med standarden ISO/IEC IS 15408. I dag finns runt 1 500 produkter i världen som är certifierade efter den standarden. – Man kan se på säkerhet på samma sätt som man ser bilar. Det är lika lätt att svara på frågan om en Volvo är säker som att viktig it-information har lagrats säkert. Även om det är en ”säker” bil så kan föraren vara osäker. Samma sak gäller säkerhetssystem. Även om produkten motsvarar kraven, kan den användas på fel sätt och göra ett system osäkert, säger Dag Ströman, verksamhetschef för certifieringsorganet CSEC på FMV. Företag låter utvärdera sina produkter Företag som vill få en positiv stämpel på sina produkter kan få dem utvärderade av CSEC. Produkterna värderas och får olika nivåer, där 1 ger ett grundläggande skydd, medan 7 ger ett utomordentligt bra skydd. Jättar som Microsoft och Oracle är några exempel på företag som låter sina produkter utvärderas av FMV. Det beror på att myndigheter eller andra stora institutioner kräver det. – Våra certifieringar är publik information. Om ett företag vill använda produkter som ger hög säkerhet är det bara att titta på certifieringsnivån. Det man ska komma ihåg är att hög säkerhet kan innebära höga kostnader, säger Dag Ströman. Öppen källkod kan både bidra till ökad säkerhet och försvaga säkerheten. En mobiltelefon med värdefull information kan krypteras och vara lika säker som en dator. Det finns inga enkla svar när det gäller säkerhet men certifieringen kan ge en fingervisning till vad ett företag vill investera i. Standard ger vägledning inom informationssäkerhet hur företag och organisationer hanterar sekretess- och säkerhetsfrågor inom information samlas oftast i riktlinjer och andra styrdokument för verksamheten. men vilken information finns att tillgå för den företagare som är osäker på hur man går till väga? »» För att bedöma vilka skyddsbehov en verksamhet har måste ett företag löpande analysera de risker som dess informationshantering innebär. Risker som kan påverka möjligheterna att verksamheten kan nå sina mål och åtaganden gentemot sina intressenter. Det är viktigt att undersöka alla aspekter av verksamheten för att fastställa vilken information som ska vara konfidentiell, vilka krav på riktighet som ställs och i vilken omfattning information och informationssystem ska vara tillgängliga för att verksamheten ska fungera som avsett. Förebyggande åtgärder Enligt MSB, Myndigheten för samhällsskydd och beredskap, är det viktigt att arbeta med förebyggande åtgärder. Att ha en god beredskap och en krisplan om något skulle inträffa är något som alltid lönar sig. Tillämpning av de internationella och svenska standarderna i ISO/IEC 27000-serien ger ett strukturerat och effektivt arbetssätt för verksamheter som strävar efter förbättrad intern kontroll över informationssäkerheten. Standarderna definierar relevanta termer och utgår från arbetsprocessen Plan-Do-Check-Act, som innebär en kvalitetsprocess som innebär kontinuerlig förbättring och anpassning av behov i en föränderlig värld. Standarder ger vägledning för de generella riktlinjer och skyddsåtgärder som är kopplade till informationssäkerhet. Arbetet med informationssäkerhet måste ske med utgångspunkt från varje verksamhets unika situation och behov. En viktig utgångspunkt är krav avseende riktighet och tillgänglighet. Digitalisering ger möjligheter Den digitala infrastrukturen ger många möjligheter. Kommunikationen sker inte bara snabbt och enkelt, informationsflöden kan dessutom spåras och loggföras på ett mer effektivt sätt. Sändaren av information kan exempelvis enkelt få en kvittens på att mottagaren har tagit del av informationen. Men denna digitalisering kan också innebära en ökad sårbarhet. Att vara behörig användare av information innebär också ett ansvar. Det kan exempelvis vara situationer där en person rent tekniskt har access till information men där det inte är klarlagt vilken typ av information personen har rätt att ta del av. Genom analys av säkerhetsloggar kan man exempelvis avgöra om en användare avsiktligt eller oavsiktligt har tagit del av fel information.
© Copyright 2024